熱い注目を集めるNIST CSF 2.0、改定のポイントと活用の鍵は――NRIセキュアテクノロジーズ 足立道拡氏:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
ウイルス対策を例にセキュリティ対策の歴史を振り返ってみると、定義ファイルに基づくウイルス対策ソフトから振る舞い検知型へとトレンドがシフトし、さらに最近ではEDR、NDR、XDRといったソリューションへと移ってきた。事後対策としての検知・対応は、ひとたび企業内に侵入して重要なサーバを侵害していく「ラテラルムーブメント」への備えとして注目されているが、同時に、被害や影響を最小化するためにネットワークを小さな単位に分割し、被害を局所化する「マイクロセグメンテーション」も、サイバーレジリエンス実践例の一つだという。
「こうしたサイバーレジリエンスが必要になったのは時代の流れであり、取り入れることが望ましいと考えます」(足立氏)
あらゆる企業でデジタル化が進展したことで、ビジネスにおけるデジタルへの依存度が高まってきた。一方攻撃者側でもデジタル化が進み、サイバー攻撃の増加・高度化が進展している。それゆえに、サイバー攻撃を受けた際の被害も甚大になっており、業務停止による損失の拡大や復旧コストの増加につながっている。
「こうなると攻撃を完全に防御したくなるものですが、一方で、サイバー攻撃の完全防御は難しいという認識を持つことも重要です。対策の力点は回復力や適応力へとシフトし、いかにビジネスの継続性を確保するかが重要になっています」(足立氏)
足立氏はさらに、世界経済フォーラムのサイバーセキュリティレポートにおいても、サプライチェーンの相互依存性やサイバー諜報活動、機密情報の漏洩といった懸念事項とともに「サイバーセキュリティ」から「サイバーレジリエンス」への視点の転換を求めていることを紹介し、「セキュリティ対策における戦略の前提をアップデートするタイミングに来ているのではないか、というのが私の感じたことです」とした。
これはまさに、統治も含めた事前対策と事後対策の必要性を訴えるNIST CSF 2.0、そしてNIST SP800-160の考え方にも通じるものだ。足立氏は「事後対策の中にサイバーレジリエンスの文脈を組み入れていく中で、企業として事業継続性を求める取り組みがこれまで以上に求められるでしょう」とし、その中でNIST CSF 2.0がいっそう活用されていくだろうとした。
自助と共助を掛け合わせながらNIST CSF 2.0の活用を
すでにNIST CSF 2.0は国内、海外を問わず注目を集め、さまざまなセキュリティ規制やガイドラインからも参照されている。そして、NIST CSF 2.0をベースにして対策を推進する旨を表明する企業も、業種・業態を問わずに増えてきた。さらに、自社だけでなくサプライチェーン全体のリスクに対する意識の向上にも貢献するなど、さまざまな好影響が生まれている。
足立氏は、NIST CSF 2.0活用に向けて、「評価基準の策定」「現状のプロファイル作成」「目標のプロファイル作成」「アクションプランの策定・実行」「プロファイル更新」という5つのステップからなるPDCAサイクルを回し続けるアプローチを紹介した。
一方で、「NIST CSF2.0は非常に使いやすいフレームワークですが、使ってみてはじめて気付く難しさもあります」(足立氏)というのも事実だという。NIST CSF 2.0はシンプルな記述で、業種・業態を問わずに活用できる汎用性があり、目標レベルも自分で決められるといった柔軟性や自由度の高さがある。だがそれだけに、自分たちで決めるべきことの多さ、やるべきことの多さに迷いや悩みを感じるという声も多く聞かれるとした。
具体的には、どのように実装例を作成し、合意を取り、経営層の理解を得るかという課題にはじまり、ティアにおける定量化の難しさ、対策優先度の付け方、ベンチマークの困難さといった課題が浮上しているという。
足立氏はこれらの課題に対し、人材不足やCSF更新へのキャッチアップ、リスク評価の効率化といった制約を考慮しながら解決していく方法として、自助だけでなく、自助と共助を掛け合わせた形への「リスク評価アプローチの変革」が必要だとした。
「現状は、各社が自助している状況だと思います。CSF 2.0を参照して選ばれる実装レイヤティアのスコアの定義、それに伴う対策の優先度などは各社ごとに異なっているのが実態です」(足立氏)
ここから一歩進み、自助に加え共助もしていく形が期待されるという。「CSF 2.0を皆で参照して、共通のコアや実装例をうまく企業間で共有し、ティアの定義や対策優先度についてもベンチマークし、ある程度正しいのかどうかを判断できるようにする取り組みが必要になってくると思います」と足立氏は述べ、同社のWebベースのセキュリティ評価プラットフォーム「Secure SketCH」などを活用し、自助と共助を両立してのベンチマークも検討してほしいと呼び掛け、講演を終えた。
関連記事
- AI駆動型攻撃が現実となる時代に求められるセキュリティ対策と専門家の役割とは――名和利男氏
- 2030年問題で解決はいよいよ困難になるサプライチェーンリスクへの処方箋は――NRIセキュアテクノロジーズ 足立道拡氏
- 迷宮化するセキュリティ対策、脱出の鍵は「自分の頭で考える」こと――Armoris 鎌田敬介氏
- 10年の経験を経たRecruit-CSIRTに見る、平時とこれからのCSIRTのあり方――リクルート 鴨志田昭輝氏
- 予防は治療に勝る「プロセスのゼロトラスト化」を軸に多面的な取り組みを展開――全日本空輸 和田昭弘氏
- デジタルアイデンティティこそがデジタル覇権の行方を左右する――東京デジタルアイディアーズ崎村夏彦氏
- 経営層と現場の間に横たわるギャップ解消のために心がけたい3つのポイント ――Armoris 取締役専務 CTO 鎌田敬介氏
- 生成AIは人間の仕事を奪わない。3つの懸念点を踏まえつつ、生成AIの積極的な活用を――日本マイクロソフト 西脇資哲氏
- サイバーセキュリティだけ「特別扱い」には無理がある――経営を脅かすリスクの1つと位置付け、メリハリのある対策を
- 情報漏洩にとどまらず、ビジネスリスクの観点でのサイバー攻撃対策を実践―― サプライチェーン全体を視野に取り組む凸版印刷
- 世界は変わった? 変わらない? 変化の中で引き続き求められるバランスの取れたセキュリティ対策
- サイバーセキュリティ連盟の調査で判明――日本企業のサイバー防御力、ギャップを埋める鍵はセキュリティ意識の変革から
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- 東京、7月に行くべきアート展3選
- 「座ったら、びっくり」扉がなくても涼しい待合ブース パナソニックHDが朝潮橋駅で公開
- 第40回:「シン報連相」と、上司・部下相互の歩み寄り
- 睡眠の質をあげることがうつリスク削減&生産性向上につながる――睡眠を改善するための超熟睡トレーニング
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- パナソニックHD 米カンザスのEV電池工場が量産開始 テスラ不振で不透明感ぬぐえず
- 買い物弱者にドローンで空輸 北海道新十津川町の挑戦 民間と連携し買い物代行サービス
- 余暇の過ごし方は「国内観光旅行」が3年連続1位 最新のレジャー白書 2位は動画鑑賞
- 「泊まる」から「働く」へ、NOT A HOTELが手がけるワークラウンジが晴海に登場
- 「闇バイト強盗」撃退する進化した家 警備業の人手不足の裏で進む防犯市場への異業種参入
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。